Alerta homebanking: cómo te eligen para estafarte

Hay que tener mucho cuidado con lo que se publica en las redes sociales porque los hackers están buscando datos para acceder a tus cuentas bancarias.

Lo que publicás en tus redes sociales pueder ser la clave para que seas el objetivo de los estafadores que buscan vaciar tus cuentas del banco y endeudarte con préstamos pre-aprobados. ¿Qué hacer si caes víctima de este engaño? La amenaza se vuelve cada vez más peligrosa y sofisticada. Los ciberdelincuentes encuentran formas más sutiles y más engañosas para lograr que sus víctimas caigan en la trampa. No es necesario tener grandes conocimientos en informática ni ser hackers, con saber usar las redes sociales y tener un discurso verosímil (no verdadero, sino que parezca verdad) es suficiente para hacerse de miles de pesos en cuestión de minutos.

En el artículo que escribió el periodista especializado Julio Ernesto López (LINK: https://tn.com.ar/opinion/hay-una-bomba-en-tu-homebanking_1102297) pueden encontrar algunos ejemplos de esta nueva modalidad y la experiencia de sus víctimas. Aquí vamos a ver de qué manera los ciberdelincuentes te eligen para cometer el delito.

Tu información es pública

Cuando uno crea un perfil en una red social, como Instagram, Facebook, Twitter, TikTok, etc, debe compartir con todos aquellos que estén en esa red ciertos datos que parecen inocuos: nombre, sobrenombre, edad, foto de perfil, fecha de cumpleaños, trabajo, dirección de correo y, algunas veces, hasta el número de teléfono. Al ofrecer solamente algunos de esos datos ya estamos creando nuestra presencia online y dando la posibilidad a la gente para que nos encuentre. Pero no podemos filtrar quiénes queremos que nos encuentren. Entonces, si alguien nos quiere elegir para una estafa, sólo tiene que acceder a nuestro perfil público y obtener toda la información posible, que se completa con lo que vamos publicando (nombres y fotos de familiares, amigos, mascota, etc.).

Si el ciberdelincuente tiene experiencia para navegar la dark web, puede encontrar fácilmente, en los foros dedicados al cibercrimen, oferta de bases de datos que utilizan algunas compañías de marketing y que compilan la información pública de millones (sí, millones) de usuarios. Esta información está prolijamente aunada y clasificada demográficamente y le da a los criminales la posibilidad de tener un directorio de potenciales víctimas. De hecho, este mes, el especialista en ciberseguridad de Comparitech, Bob Diachenko, descubrió la base de datos de 235 millones de usuarios de Instagram, TikTok y YouTube expuesta en la web.

Sin seguridad alguna, cualquier navegante de internet podía acceder al servidor donde está ubicada la base de datos y descargarla. Era una mezcla de datos públicamente accesibles, enriquecido con métricas sociales (mide la interacción del dueño de la cuenta con sus seguidores) e información de contacto como e-mail o teléfonos que en algunos casos no eran visibles en los perfiles”, explicó a TN.com.ar. Esta base de datos pertenece a la empresa Social Data, con base en Hong Kong, dedicada a obtener y clasificar la información pública con fines publicitarios y ya fue quitada del acceso libre tras descubrirse la exposición.

Cómo te eligen y usan tu información pública

La pandemia y el aislamiento preventivo y obligatorio llevó a las empresas a encontrar nuevos canales para la comunicación con sus clientes que no requieran encuentros presenciales. Los bancos no fueron la excepción: es muy común ver posteos de gente en Facebook o en Twitter arrobando a una entidad bancaria con alguna consulta sobre un servicio o con algún reclamo y que un empleado del banco conteste diciéndole que le envíe más información por privado.

En el caso de Nuria, su ex esposo Marcelo hizo un reclamo a la cuenta oficial de Instagram del Banco Galicia por un depósito mal liquidado y a los 10 minutos recibió un mensaje de otra cuenta, con toda la apariencia de pertenecer al banco, preguntándole por qué motivo necesitaba contactarse con la entidad. Confiado, y sin notar que esa cuenta no tenía una tilde de verificación, Marcelo le pasó el teléfono de su ex mujer y fue así como la llamaron y lograron, y con un discurso y un léxico muy bien armado, sacarle información suficiente para terminar vaciándole su cuenta y, además, sacar un préstamo a su nombre. “Cuando corta el llamado por whatsapp, un oficial de cuenta del banco la llama por teléfono de línea para preguntarle como le había ido con el préstamo pre-aprobado y ahí es donde nos damos cuenta de lo que había pasado”, detalló Marcelo.